igor - Fotolia
DoS-Attacken begegnen: Die Risiken minimieren
Unternehmen müssen sich mit der Bedrohung durch DoS-Angriffe auseinandersetzen. Mit Plänen und Checklisten lassen sich die Auswirkungen reduzieren.
Denial-of-Service-Angriffe gehören laut dem „2016 Data Breach Investigations Report“ von Verizon zu den am stärksten wachsenden digitalen Angriffen. Sie zielen auf essentielle Funktionen, etwa Netzwerkserver, Geräte, Applikationen und den Internetzugriff. Im überwachten Zeitraum wurden rund 10.000 Attacken ausgewertet. Denial-of-Service-Angriffe waren dabei die offensichtlichsten Wege, über die Hacker auf Unternehmensnetzwerke zugreifen. Viele Firmen erkennen dies nicht, bis sie selbst Ziel einer solchen Attacke sind.
Das gilt besonders für DDoS-Angriffe (Distributed Denial of Service), die durch eine große Anzahl von Bots (infizierten Computern, die Anweisungen eines zentralen Rechners folgen) einen massiven Angriff gegen die Ziele starten können. Hier wird oftmals auf Netzwerke und Applikationen gezielt. Die Angreifer überfluten die Systeme mit hunderten von GBytes pro Sekunden. Solche Attacken wurden erstmals in 2014 öffentlich bekannt.
Oftmals wird übersehen, dass sich existierende Sicherheitskontrollen nutzen lassen, um DoS-Angriffe zu verhindern. Die Anbieter von DoS-Angriffen, versprechen eine ganze Menge. Die Auswirkungen sieht man allerdings erst, wenn es wirklich zu einer Attacke kommt.
DDoS-Angriffe - Abwehrmaßnahmen
Wie können sich Unternehmen also gegen solche Attacken wehren? Es gibt keine ultimative Antwort auf diese Frage, Sicherheitsteams können aber die Risiken enorm reduzieren. Und zwar mit folgenden Maßnahmen:
- Angriffsfläche reduzieren: Dieser Schritt bringt bereits einen enormen Sicherheitsgewinn. Nahezu jedes Unternehmen hat Systeme, die mit dem Internet kommunizieren und darüber erreichbar sind. Sie werden beispielsweise von Geschäftspartnern genutzt oder gehören zu Applikationen. Es ist sinnvoll, diesen Zugriff über VPNs oder private WAN-Verbindungen zu schützen. Die Analyse von Firewall-Logdateien kann hier die notwendigen Aufschlüsse geben.
- Bekannte Fehler erkennen und beheben: Software-Schwachstellen sind beliebte Ziele für DoS-Attacken. Viele Systeme mit Internetzugang sind oft schlecht geschützt. Dazu gehören traditionelle Systeme, ebenso wie neuere Geräte, etwa aus dem Bereich des Internet of Things. Die Lücken entstehen meist durch fehlende Updates für die Firmware von Geräten oder fehlende Software-Patches für Perimeter-Systeme wie Firewalls oder Router.
- Einsatz von Next-Generation Firewall, Load Balancer oder einer Appliance für DoS Abwehr: Nahezu ideal ist ein Cloud-basierter DoS-Schutzdienst. Zahlreiche Unternehmen nutzen solche Angebote, um im Falle eines Falles DoS-Datenverkehr auf diese umzuleiten. Prinzipiell sind diese Lösungen leicht einzurichten, allerdings sollte das Setup nicht während eines Angriffes erfolgen, sondern davor. Zusätzlich sollte man vorab den Internet-Provider und Cloud-Anbieter kontaktieren, um für den Notfall vorbereitet sein.
- Das eigene Netzwerk kennen: Um ungewöhnliche Aktionen zu erkennen, müssen Sie wissen, wie Ihr Netzwerk im Normalzustand agiert. Wissen Sie, wie Ihr Netzwerk im Alltag funktioniert, welcher Datenverkehr standardmäßig anfällt? Oftmals ist die Sichtbarkeit nicht gegeben, einfach, weil die Anzahl der Systeme oder der Netzwerkverkehr zu hoch ist. Ein Ingress-Filter ist hier eine gute Möglichkeit, um DoS Attacken zu verhindern.
- Erstellen Sie einen Plan: Die Auswirkungen einer DoS Attacke lassen sich durch gut strukturierte und ordentlich dokumentierte Ablaufpläne minimieren. Allerdings ist ein solches Dokument selbst in größeren Unternehmen eher selten anzutreffen. Ein gut ausgearbeiteter Notfallplan lässt sich nutzen, um DoS-Angriffe abzuwehren. Er liefert die notwendigen Informationen darüber, wer anzurufen ist, welche Kontakte wie erreichbar sind und wer über welche Zugangsrechte verfügt. Zusätzlich lassen sich Schritte definieren, wie sich die Auswirkungen des Angriffs begrenzen lassen.
Auf Angriffe vorbereitet sein
Der reine Einsatz eines Anti-DDoS-Cloud-Dienstes oder das Auslagern der Sicherheitsmaßnahmen kann DoS-Angriffe nicht komplett verhindern. Es gibt zahlreiche gut dokumentierte Angriffe, die gegen bekannte und eigentlich unantastbare Cloud-Dienstplattformen erfolgten. Nur weil ein Anbieter groß ist, bedeutet es nicht, dass er unantastbar ist.
Ein Beispiel aus der Praxis: Ich arbeitete für einen Klienten, der eine Handvoll Webseiten mit hohem Datenverkehr für andere Unternehmen hostete. Eine spezielle Webseite hatte eine offene Proxy-Schwachstelle, die allerdings bereits vor einigen Jahren geschlossen wurde. Dennoch war die Seite scheinbar immer noch auf einigen Webseiten aufgeführt, die offene Proxys auflisten. Die Webseite erfuhr teilweise über 20.000 Anfragen pro Minute. Das sorgte nicht nur dafür, dass die Webseite unerreichbar war, zudem wurden Teile des Cloud-Angebotes lahmgelegt.
Darüber hinaus sollten Sie berücksichtigen, dass nicht alle DoS-Angriffe absichtlich erfolgen. Denial of Service kann verschiedene Gründe haben. Dazu gehört etwa das Scannen auf Schwachstellen oder Penetration Testing. Andere Gründe sind fehlerhafte Konfigurationen von Servern und Netzwerkinfrastruktur, sowie allgemeine Fehler.
Es gibt viele Bereiche, die beim Schutz vor DoS von Bedeutung sind. Das Wichtigste, was man im Hinblick auf solche Angriffe machen kann, ist vorab über sie nachzudenken und entsprechend zu planen. Zusätzlich benötigen Sie die richtigen Systeme. Diese sollten Ihnen genügend Transparenz und die notwendigen Kontrollen geben, um die verschiedenen Arten von DoS-Attacken zu identifizieren. Wählen Sie anschließend die passende Gegenmaßnahme. Damit können Sie die Risiken auf ein akzeptables Niveau herunterfahren. Das Ziel muss sein, eine DoS-Attacke für den Angreifer so teuer oder aufwendig wie möglich zu machen. Testen Sie diese Szenarien zudem regelmäßig. Es bringt Ihnen nichts, wenn Sie während eines aktiven Angriffs verzweifelt nach Gegenmaßnahmen suchen – Sie müssen diese bereits vorab in petto haben.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
